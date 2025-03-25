Selama analisis, beberapa indikator awal mengarah pada aktor ancaman yang berbasis di Rusia, termasuk:

Deputi Loader dan Sheriff Downloader berisi sumber daya bahasa Rusia;

Lokal Rusia yang digunakan oleh akun Dropbox; dan,

Menargetkan Ukraina.

X-Force menilai bahwa Sheriff backdoor sangat mungkin merupakan alat yang dirancang untuk spionase siber dan pengumpulan intelijen, bukan untuk kejahatan dunia maya yang bermotif finansial. Malware ini berfokus pada eksfiltrasi data dan pengambilan tangkapan layar, sambil mempertahankan profil rendah yang dirancang untuk memungkinkan kompromi jangka panjang. Malware ini dikembangkan dengan niat jelas untuk tetap sebisa mungkin tidak terdeteksi, memastikan bahwa komunikasi serta sebagian besar artefak yang ditulis ke disk tetap dalam keadaan terenkripsi. Komunikasi jaringan dipertahankan secara tersembunyi melalui penyalahgunaan Dropbox API yang sah, serta ukr.net, situs web populer di Ukraina yang dimanfaatkan untuk melakukan pemasangan malware. Sheriff juga menggunakan beberapa fungsi penghancuran diri untuk menghapus jejaknya setelah eksekusi. Akhirnya, kode yang tertata dengan baik, struktur folder, implementasi modular, pencatatan, fungsionalitas yang luas, serta kemampuan konfigurasi menunjukkan tingkat kecanggihan yang meningkat, selaras dengan ekspektasi terhadap kelompok yang disponsori negara.

Investigasi juga mengungkapkan beberapa tumpang tindih minor dengan kampanye yang sebelumnya telah didokumentasikan dan dikaitkan dengan kelompok aktor ancaman nexus Rusia yang dikenal sebagai Turla (alias ITG12). Misalnya, backdoor Kazuar.NET dari grup tersebut menunjukkan beberapa kesamaan dengan Sheriff, termasuk:

Kazuar juga mempertahankan struktur folder yang sedikit mirip;

Meskipun berbeda, Kazuar juga menghasilkan GUID dan menggunakan nomor seri korban;

Kazuar juga mengimplementasikan pencatatan dan menggunakan enkripsi AES dan RSA;

Kazuar juga modular, meskipun tampaknya merujuk ke “plugin” alih-alih modul;

Kazuar juga menggunakan nilai interval maks dan min; dan,

Kazuar mendukung perintah yang serupa dengan Sheriff, termasuk “Suicide”, pengambilan tangkapan layar, eksekusi baris perintah, eksekusi biner, penghapusan file, eksfiltrasi, dan pembaruan diri.

Terlihat bahwa backdoor Crutch, yang dikaitkan dengan Turla oleh ESET, juga menggunakan API Dropbox untuk komunikasi C2 dengan cara yang mirip dengan Sheriff, meskipun tidak berbasis .NET.

Penelitian lebih lanjut juga mengungkapkan tumpang tindih antara Sheriff dan backdoor Operation Groundbait’s Prikormka, termasuk:

Backdoor modular dengan modul pengunduh, inti dan tangkapan layar;

Prikormka juga memelihara dua folder di %USERPROFILE%\AppData\Local\ untuk upload dan download;

Prikormka juga menggunakan ekstensi khusus untuk mengidentifikasi file yang dimaksudkan untuk dienkripsi dan dikompresi sebelum eksfiltrasi;

Modul tangkapan layar Prikormka menggunakan “.tgz” sebagai bagian dari ekstensi khusus, modul tangkapan layar Sheriff menggunakan “.tgr”; dan

Modul Prikormka mencantumkan “Siklus” sebagai salah satu fungsi ekspor yang diperlukan, yang serupa dengan kelas “MainCycle” yang digunakan oleh Modul Pengunduh Sheriff.

Kaspersky Labs kemudian mendokumentasikan tumpang tindih yang signifikan antara Prikormka dan CloudWizard APT. X-Force juga mencatat beberapa kesamaan antara Sheriff dan CloudWizard, termasuk:

Backdoor modular dengan modul utama mengelola konfigurasi dan C2 untuk setiap modul;

CloudWizard juga menggunakan AES dan RSA untuk mengenkripsi/mendekripsi ZIP sebelum/sesudah mengunggah dan mengunduh;

CloudWizard juga mendukung Dropbox sebagai mekanisme C2 dengan otentikasi OAuth;

Baik CloudWizard dan Sheriff berisi fungsi “GetSettings”/”get_Settings” untuk mengambil konfigurasi setiap modul;

Modul tangkapan layar CloudWizard dan Sheriff mendukung argumen "WindowsTitle", yang dibandingkan dengan judul jendela saat ini sebelum mengambil tangkapan layar;

CloudWizard, Prikormka dan Sheriff berbagi interval pengambilan tangkapan layar yang sama selama 15 menit; dan,

Modul daftar file CloudWizard dan Prikormka disebut "tree", yang merupakan nama yang digunakan Sheriff untuk eksfiltrasi daftar file.

X-Force meyakini bahwa Sheriff backdoor digunakan sebagai bagian dari operasi yang bersifat terarah. Malware ini kemungkinan terkait dengan CloudWizard APT yang berafiliasi dengan Rusia, yang sebelumnya telah diketahui menargetkan entitas di Ukraina. Ada kemungkinan terdapat keterkaitan tingkat rendah dengan klaster ancaman Turla (ITG12) karena adanya tumpang tindih minor dalam TTP dan malware.